Cisco ISE፡ ተጠቃሚዎችን መፍጠር፣ የኤልዲኤፒ አገልጋዮችን መጨመር፣ ከ AD ጋር መቀላቀል። ክፍል 2

በሲስኮ አይኤስኢ ተከታታይ ወደ ሁለተኛው ልጥፍ እንኳን በደህና መጡ። በመጀመሪያው ውስጥ ጽሑፍ  የኔትወርክ ተደራሽነት መቆጣጠሪያ (ኤንኤሲ) መፍትሄዎች ከመደበኛ AAA ጥቅሞች እና ልዩነቶች ፣ የ Cisco ISE ልዩነት ፣ የምርቱ አርክቴክቸር እና የመጫን ሂደት ተብራርቷል።

በዚህ ጽሁፍ ውስጥ አካውንቶችን መፍጠር፣ ኤልዲኤፒ አገልጋዮችን ማከል እና ከማይክሮሶፍት አክቲቭ ዳይሬክተሪ ጋር ወደ ውህደት እንገባለን እንዲሁም ከPassiveID ጋር የመስራትን ልዩ ልዩ ሁኔታዎች እንመረምራለን። ከማንበብ በፊት, እንዲያነቡ አጥብቄ እመክራችኋለሁ የመጀመሪያ ክፍል.

1. አንዳንድ ቃላት

የተጠቃሚ ማንነት - ስለ ተጠቃሚው መረጃን የያዘ እና አውታረ መረቡን ለመድረስ ምስክርነቱን የሚያመነጭ የተጠቃሚ መለያ። የሚከተሉት መመዘኛዎች በተለምዶ በተጠቃሚ መለያ ውስጥ የተገለጹ ናቸው፡ የተጠቃሚ ስም፣ የኢሜይል አድራሻ፣ የይለፍ ቃል፣ የመለያ መግለጫ፣ የተጠቃሚ ቡድን እና ሚና።

የተጠቃሚ ቡድኖች - የተጠቃሚ ቡድኖች የተወሰኑ የ Cisco ISE አገልግሎቶችን እና ተግባራትን እንዲደርሱባቸው የሚያስችላቸው የጋራ ልዩ መብቶች ያላቸው የግለሰብ ተጠቃሚዎች ስብስብ ናቸው።

የተጠቃሚ መለያ ቡድኖች - አስቀድሞ የተወሰነ መረጃ እና ሚና ያላቸው የተጠቃሚ ቡድኖች። የሚከተሉት የተጠቃሚ መታወቂያ ቡድኖች በነባሪነት ይኖራሉ፣ ተጠቃሚዎችን እና የተጠቃሚ ቡድኖችን ለእነሱ ማከል ይችላሉ፡ ተቀጣሪ (ተቀጣሪ)፣ ስፖንሰርAllAccount፣ SponsorGroupAccounts፣ SponsorOwnAccounts (የእንግዶች ፖርታልን ለማስተዳደር የስፖንሰር መለያዎች)፣ እንግዳ (እንግዳ)፣ ገቢር እንግዳ (የነቃ እንግዳ)።

የተጠቃሚ ሚና - የተጠቃሚ ሚና አንድ ተጠቃሚ ምን ተግባራትን ማከናወን እንደሚችል እና ምን አገልግሎቶችን ማግኘት እንደሚችል የሚወስኑ የፍቃዶች ስብስብ ነው። ብዙውን ጊዜ የተጠቃሚ ሚና ከተጠቃሚዎች ቡድን ጋር የተያያዘ ነው።

ከዚህም በላይ እያንዳንዱ ተጠቃሚ እና ተጠቃሚ ቡድን ይህንን ተጠቃሚ (የተጠቃሚ ቡድን) እንዲመርጡ እና የበለጠ እንዲገልጹ የሚያስችልዎ ተጨማሪ ባህሪያት አሏቸው። ተጨማሪ መረጃ በ መመሪያ.

2. የአካባቢ ተጠቃሚዎችን ይፍጠሩ

1) Cisco ISE የአገር ውስጥ ተጠቃሚዎችን መፍጠር እና በመዳረሻ ፖሊሲ ውስጥ ሊጠቀምባቸው አልፎ ተርፎም የምርት አስተዳደር ሚናን መስጠት ይችላል። ይምረጡ አስተዳደር → የማንነት አስተዳደር → ማንነቶች → ተጠቃሚዎች → ያክሉ።

ምስል 1 የአካባቢ ተጠቃሚን ወደ Cisco ISE ማከል

2) በሚታየው መስኮት ውስጥ የአካባቢያዊ ተጠቃሚን ይፍጠሩ, የይለፍ ቃል እና ሌሎች ለመረዳት የሚቻል መለኪያዎች ያዘጋጁ.

ምስል 2. በ Cisco ISE ውስጥ የአካባቢ ተጠቃሚ መፍጠር

3) ተጠቃሚዎችም ማስመጣት ይችላሉ። በተመሳሳይ ትር ውስጥ አስተዳደር → የማንነት አስተዳደር → ማንነቶች → ተጠቃሚዎች አንድ አማራጭ ይምረጡ አስገባ እና csv ወይም txt ፋይል ከተጠቃሚዎች ጋር ይስቀሉ። አብነት ለማግኘት ይምረጡ አብነት ይፍጠሩ, ከዚያም ተስማሚ በሆነ ቅጽ ስለተጠቃሚዎች መረጃ መሞላት አለበት.

ምስል 3 ተጠቃሚዎችን ወደ Cisco ISE በማስመጣት ላይ

3. የኤልዲኤፒ አገልጋዮችን መጨመር

ላስታውስህ ኤልዲኤፒ መረጃን እንድትቀበል፣ ማረጋገጥ እንድትችል፣ በኤልዲኤፒ አገልጋዮች ማውጫ ውስጥ ያሉ አካውንቶችን እንድትፈልግ፣ በፖርት 389 ወይም 636 (SS) ላይ የሚሰራ ታዋቂ የመተግበሪያ ደረጃ ፕሮቶኮል ነው። የኤልዲኤፒ አገልጋዮች ታዋቂ ምሳሌዎች ንቁ ዳይሬክተሪ፣ Sun Directory፣ Novell eDirectory እና OpenLDAP ናቸው። በኤልዲኤፒ ማውጫ ውስጥ ያለው እያንዳንዱ ግቤት በዲኤን (የተለየ ስም) ይገለጻል እና መለያዎችን፣ የተጠቃሚ ቡድኖችን እና ባህሪያትን የማውጣት ተግባር የመዳረሻ ፖሊሲ ለመቅረጽ ይነሳል።

በሲስኮ አይኤስኢ ውስጥ የብዙ የኤልዲኤፒ አገልጋዮችን መዳረሻ ማዋቀር ይቻላል፣ በዚህም ተደጋጋሚነትን ተግባራዊ ያደርጋል። ዋናው (ዋና) ኤልዲኤፒ አገልጋይ ከሌለ፣ ISE ሁለተኛ ደረጃ (ሁለተኛ) እና የመሳሰሉትን ለመድረስ ይሞክራል። በተጨማሪም፣ 2 PANs ካሉ፣ አንድ LDAP ለዋና PAN እና ሌላ LDAP ለሁለተኛ ደረጃ PAN ቅድሚያ ሊሰጠው ይችላል።

አይኤስኢ ከኤልዲኤፒ አገልጋዮች ጋር ሲሰራ 2 ዓይነት ፍለጋን ይደግፋል፡ የተጠቃሚ ፍለጋ እና የማክ አድራሻ ፍለጋ። የተጠቃሚ ፍለጋ በኤልዲኤፒ ዳታቤዝ ውስጥ ተጠቃሚን እንድትፈልግ እና ያለማረጋገጫ የሚከተሉትን መረጃዎች እንድታገኝ ይፈቅድልሃል፡ ተጠቃሚዎች እና ባህሪያቸው፣ የተጠቃሚ ቡድኖች። የማክ አድራሻ ፍለጋ በኤልዲኤፒ ዳይሬክቶሬቶች ውስጥ ያለ ማረጋገጫ በማክ አድራሻ መፈለግ እና ስለ መሳሪያው ፣የመሳሪያዎች ስብስብ በ MAC አድራሻዎች እና ሌሎች ልዩ ባህሪያትን መረጃ ለማግኘት ያስችላል።

እንደ የውህደት ምሳሌ፣ አክቲቭ ዳይሬክተሩን ወደ Cisco ISE እንደ LDAP አገልጋይ እንጨምር።

1) ወደ ትሩ ይሂዱ አስተዳደር → የማንነት አስተዳደር → የውጭ ማንነት ምንጮች → ኤልዲኤፒ → ያክሉ። 

ምስል 4. የኤልዲኤፒ አገልጋይ መጨመር

2) በፓነል ውስጥ ጠቅላላ የኤልዲኤፒ አገልጋይ ስም እና እቅድ ይግለጹ (በእኛ ሁኔታ፣ ንቁ ማውጫ)። 

ምስል 5. የኤልዲኤፒ አገልጋይ ከገባሪ ማውጫ ንድፍ ጋር መጨመር

3) በመቀጠል ወደ ይሂዱ ግንኙነት ትር እና ይምረጡ የአስተናጋጅ ስም/አይ ፒ አድራሻ የአገልጋይ AD, ወደብ (389 - LDAP, 636 - SSL LDAP), የጎራ አስተዳዳሪ ምስክርነቶች (አስተዳዳሪ ዲኤን - ሙሉ ዲኤን), ሌሎች መለኪያዎች በነባሪነት ሊተዉ ይችላሉ.

አመለከተሊሆኑ የሚችሉ ችግሮችን ለማስወገድ የአስተዳዳሪውን ጎራ ዝርዝሮችን ይጠቀሙ።

ምስል 6 የኤልዲኤፒ አገልጋይ ውሂብን ማስገባት

4) በትር ውስጥ ማውጫ ድርጅት ተጠቃሚዎችን እና የተጠቃሚ ቡድኖችን ከየት እንደሚጎትቱ የማውጫውን ቦታ በዲኤን በኩል መግለጽ አለብዎት።

ምስል 7. የተጠቃሚ ቡድኖችን ማውጣት የሚችሉበትን ማውጫዎች መወሰን

5) ወደ መስኮት ይሂዱ ቡድኖች → አክል → ከማውጫ ውስጥ ቡድኖችን ይምረጡ ቡድኖችን ከኤልዲኤፒ አገልጋይ ለመምረጥ።

ምስል 8. ከኤልዲኤፒ አገልጋይ ቡድኖችን መጨመር

6) በሚታየው መስኮት ውስጥ ጠቅ ያድርጉ ቡድኖችን ሰርስሮ ማውጣት። ቡድኖቹ ተነስተው ከሆነ, የመጀመሪያ ደረጃዎች በተሳካ ሁኔታ ተጠናቅቀዋል. አለበለዚያ ሌላ አስተዳዳሪ ይሞክሩ እና የ ISE መገኘትን ከኤልዲኤፒ አገልጋይ ጋር በኤልዲኤፒ ፕሮቶኮል ያረጋግጡ።

ምስል 9. የተጎተቱ የተጠቃሚ ቡድኖች ዝርዝር

7) በትር ውስጥ ባህሪያት ከኤልዲኤፒ አገልጋይ የትኞቹ ባህሪዎች መጎተት እንዳለባቸው እና በመስኮቱ ውስጥ እንደ አማራጭ መግለጽ ይችላሉ። የላቁ ቅንብሮች አማራጭ ማንቃት የይለፍ ቃል ለውጥን አንቃ, ይህም ተጠቃሚዎች የይለፍ ቃሉ ጊዜው ካለፈበት ወይም ዳግም ከተጀመረ እንዲቀይሩ ያስገድዳቸዋል. ለማንኛውም ጠቅ ያድርጉ ያስገቡ / ሰብሚት ለመቀጠል.

8) የኤልዲኤፒ አገልጋይ በተዛማጅ ትር ውስጥ ታየ እና ለወደፊቱ የመዳረሻ ፖሊሲዎችን ለመቅረጽ ጥቅም ላይ ሊውል ይችላል።

ምስል 10. የተጨመሩ የኤልዲኤፒ አገልጋዮች ዝርዝር

4. ከActive Directory ጋር ውህደት

1) የማይክሮሶፍት አክቲቭ ዳይሬክተሩ አገልጋይ እንደ ኤልዲኤፒ አገልጋይ በማከል ተጠቃሚዎችን፣ የተጠቃሚ ቡድኖችን አግኝተናል፣ ግን ምንም ምዝግብ ማስታወሻዎች የሉም። በመቀጠል፣ ከሲስኮ ISE ጋር የሙሉ የ AD ውህደትን ለማዘጋጀት ሀሳብ አቀርባለሁ። ወደ ትር ይሂዱ አስተዳደር → የማንነት አስተዳደር → የውጭ ማንነት ምንጮች → ንቁ ማውጫ → ያክሉ። 

ማስታወሻ: ከ AD ጋር በተሳካ ሁኔታ ለመዋሃድ ISE በጎራ ውስጥ መሆን እና ከዲኤንኤስ፣ ኤንቲፒ እና AD አገልጋዮች ጋር ሙሉ ግንኙነት ሊኖረው ይገባል፣ ያለበለዚያ ምንም ነገር አይመጣም።

ምስል 11. Active Directory አገልጋይ መጨመር

2) በሚታየው መስኮት ውስጥ የጎራ አስተዳዳሪ ዝርዝሮችን ያስገቡ እና ሳጥኑ ላይ ምልክት ያድርጉ የማከማቻ ምስክርነቶች. በተጨማሪም ISE በተወሰነ OU ውስጥ የሚገኝ ከሆነ OU (ድርጅታዊ ክፍል) መግለጽ ይችላሉ። በመቀጠል ከጎራው ጋር ለመገናኘት የሚፈልጉትን የ Cisco ISE ኖዶች መምረጥ ይኖርብዎታል።

ምስል 12. ምስክርነቶችን ማስገባት

3) የጎራ መቆጣጠሪያዎችን ከማከልዎ በፊት በ PSN በትሩ ላይ ያረጋግጡ አስተዳደር → ስርዓት → ማሰማራት አማራጭ ነቅቷል። ተገብሮ ማንነት አገልግሎት. ተገብሮ መታወቂያ - ተጠቃሚን ወደ አይፒ እና በተቃራኒው ለመተርጎም የሚያስችል አማራጭ። PassiveID ከኤዲ መረጃን በWMI፣ ልዩ የ AD ወኪሎች ወይም በመቀየሪያው ላይ በ SPAN ወደብ በኩል ያገኛል (ምርጥ አማራጭ አይደለም)።

ማስታወሻ: የመታወቂያውን ሁኔታ ለመፈተሽ ISE ኮንሶሉን ይተይቡ የማመልከቻ ሁኔታን አሳይ | PassiveIDን ያካትቱ።

ምስል 13. PassiveID አማራጭን ማንቃት

4) ወደ ትር ይሂዱ አስተዳደር → የማንነት አስተዳደር → የውጭ ማንነት ምንጮች → ንቁ ማውጫ → PassiveID እና ምርጫውን ይምረጡ ዲሲዎችን ያክሉ. በመቀጠል አስፈላጊዎቹን የጎራ መቆጣጠሪያዎች በአመልካች ሳጥኖች ይምረጡ እና ጠቅ ያድርጉ እሺ.

ምስል 14. የጎራ መቆጣጠሪያዎችን መጨመር

5) የተጨመሩትን ዲሲዎች ይምረጡ እና አዝራሩን ጠቅ ያድርጉ አርትእ. አመልክት FQDN የእርስዎን ዲሲ፣ የጎራ መግቢያ እና የይለፍ ቃል፣ እና የአገናኝ አማራጭ WMI ወይም ወኪል. WMI ን ይምረጡ እና ጠቅ ያድርጉ እሺ.

ምስል 15 የጎራ ተቆጣጣሪ ዝርዝሮችን በማስገባት ላይ

6) ከActive Directory ጋር ለመነጋገር WMI ተመራጭ ካልሆነ፣ የ ISE ወኪሎችን መጠቀም ይቻላል። የወኪሉ ዘዴ የመግቢያ ክስተቶችን በሚለቁ አገልጋዮች ላይ ልዩ ወኪሎችን መጫን ይችላሉ. 2 የመጫኛ አማራጮች አሉ-አውቶማቲክ እና በእጅ. በተመሳሳዩ ትር ውስጥ ወኪሉን በራስ-ሰር ለመጫን ተገብሮ መታወቂያ ይምረጡ ወኪል አክል → አዲስ ወኪል አሰማር (ዲሲ የበይነመረብ መዳረሻ ሊኖረው ይገባል)። ከዚያ አስፈላጊዎቹን መስኮች ይሙሉ (የወኪል ስም ፣ አገልጋይ FQDN ፣ የጎራ አስተዳዳሪ መግቢያ / የይለፍ ቃል) እና ጠቅ ያድርጉ እሺ.

ምስል 16. የ ISE ወኪል በራስ-ሰር መጫን

7) የ Cisco ISE ወኪልን እራስዎ ለመጫን ንጥሉን ይምረጡ ነባር ወኪል ይመዝገቡ. በነገራችን ላይ ወኪሉን በትሩ ውስጥ ማውረድ ይችላሉ የስራ ማእከላት → PassiveID → አቅራቢዎች → ወኪሎች → የማውረድ ወኪል።

ምስል 17. የ ISE ወኪልን በማውረድ ላይ

ይህ በጣም አስፈላጊ ነው: PassiveID ክስተቶችን አያነብም። ጨርሰህ ውጣ! ለጊዜ ማብቂያው ተጠያቂው መለኪያ ይባላል የተጠቃሚ ክፍለ ጊዜ የእርጅና ጊዜ እና በነባሪ ከ 24 ሰዓታት ጋር እኩል ነው። ስለዚህ በስራው ቀን መጨረሻ ላይ እራስዎን ሎግ ማድረግ ወይም ሁሉንም የገቡ ተጠቃሚዎችን በራስ-ሰር የሚያጠፋ ስክሪፕት መፃፍ አለብዎት። 

ለመረጃ ጨርሰህ ውጣ "Endpoint probes" ጥቅም ላይ ይውላሉ - ተርሚናል መመርመሪያዎች. በሲስኮ ISE ውስጥ በርካታ የመጨረሻ ነጥብ መመርመሪያዎች አሉ፡ RADIUS፣ SNMP Trap፣ SNMP Query፣ DHCP፣ DNS፣ HTTP፣ Netflow፣ NMAP Scan። RADIUS በመጠቀም መመርመር ኮአ (የፈቃድ ለውጥ) ጥቅሎች የተጠቃሚ መብቶችን ስለመቀየር መረጃ ይሰጣሉ (ይህ የተካተተ ያስፈልገዋል 802.1X), እና በ SNMP የመዳረሻ ቁልፎች ላይ የተዋቀረ ስለተገናኙ እና ስለተቋረጡ መሳሪያዎች መረጃ ይሰጣል።

የሚከተለው ምሳሌ ያለ 802.1X እና RADIUS ለ Cisco ISE + AD ውቅር ጠቃሚ ነው፡ ተጠቃሚው በዊንዶውስ ማሽን ላይ ገብቷል፣ ሎጎፍ ሳይሰራ፣ ከሌላ ፒሲ በዋይፋይ ይግቡ። በዚህ አጋጣሚ በመጀመሪያው ፒሲ ላይ ያለው ክፍለ ጊዜ ጊዜው እስኪያበቃ ድረስ ወይም የግዳጅ ሎጎፍ እስኪፈጠር ድረስ ንቁ ይሆናል። ከዚያ መሳሪያዎቹ የተለያዩ መብቶች ካሏቸው በመጨረሻ የገባው መሳሪያ መብቶቹን ተግባራዊ ያደርጋል።

8) በትሩ ውስጥ አማራጭ አስተዳደር → የማንነት አስተዳደር → የውጭ ማንነት ምንጮች → ንቁ ማውጫ → ቡድኖች → አክል → ከማውጫ ውስጥ ቡድኖችን ይምረጡ በ ISE ላይ ለመሳብ የሚፈልጉትን ቡድኖች ከ AD መምረጥ ይችላሉ (በእኛ ሁኔታ ይህ የተደረገው በደረጃ 3 "ኤልዲኤፒ አገልጋይ መጨመር") ነው. አንድ አማራጭ ይምረጡ ቡድኖችን ሰርስረው → እሺ. 

ምስል 18 ሀ) የተጠቃሚ ቡድኖችን ከActive Directory በመሳብ ላይ

9) በትር ውስጥ የስራ ማእከላት → PassiveID → አጠቃላይ እይታ → ዳሽቦርድ የንቁ ክፍለ-ጊዜዎች ብዛት፣ የውሂብ ምንጮች ብዛት፣ ወኪሎች እና ሌሎችንም መከታተል ይችላሉ።

ምስል 19. የጎራ ተጠቃሚዎችን እንቅስቃሴ መከታተል

10) በትር ውስጥ የቀጥታ ክፍለ ጊዜዎች የአሁኑ ክፍለ ጊዜዎች ይታያሉ. ከ AD ጋር ውህደት ተዋቅሯል።

ምስል 20. የጎራ ተጠቃሚዎች ንቁ ክፍለ ጊዜዎች

5. ማጠቃለያ

ይህ መጣጥፍ በሲስኮ ISE ውስጥ የአገር ውስጥ ተጠቃሚዎችን የመፍጠር፣ የኤልዲኤፒ አገልጋዮችን የመጨመር እና ከማይክሮሶፍት አክቲቭ ዳይሬክተሩ ጋር የመዋሃድ ርዕሶችን አካቷል። የሚቀጥለው መጣጥፍ እንግዳ መዳረሻን ባልተለመደ መመሪያ መልክ ያጎላል።

ስለዚህ ርዕስ ጥያቄዎች ካሉዎት ወይም ምርቱን ለመፈተሽ እገዛ ከፈለጉ እባክዎን ያነጋግሩ ማያያዣ.

በቻናሎቻችን ላይ አዳዲስ መረጃዎችን ይጠብቁ (ቴሌግራም, Facebook, VK, TS መፍትሔ ብሎግ, Yandex ዜን).

ምንጭ: hab.com